Каким образом можно получить доступ к исходному коду сайта?

Question

[Максим]

К примеру, есть такая конструкция:

<?php  
$host = "localhost";
$oser = "root";
$pass = "123";
$dbname = "news";

$conn = new mysqli($host, $oser,$pass,$dbname);
if(!conn) die ("описание " . $conn->connect_error);
$sql = "SELECT * FROM `news`";
$result = $conn->($sql);
?>
<!DOCTYPE HTML>
<html lang="ru">
<head></head>
и т д

И если смотреть через инспектор кода в браузере, то всё, что между тегами <?php ?>, не видно. Но это считается плохим тоном и не безопасно. Сам вопрос: как злоумышленник может это увидеть?

Comments

[АртемЪ]

Очень просто - для этого нужно использовать текстовый редактор, а не браузер.

Answer 1

[xmoonlight]

Никак он это не увидит (не имея доступа к файловой системе на сервере, разумеется).
Про плохой тон - это нужно разделять: шаблон вывода всегда отделять от основного кода.
Про безопасность - сказки.

Comments

[Максим]

я много раз так делал , меня phpшники чуть не расстреливали за это , пришлось переходить на OOP точнее создавать class DB ну это не сложно , и говорили что это Опасно ! Я как ни пытался увидеть то что между тегами php так и не увидел

[xmoonlight]

. Shadow: Они просто пугали, говоря, что "это опасно", чтобы Вы начали делать правильно по архитектурным правилам.
Я бы просто сказал: "делайте классы для каждой роли в задаче кода".
А вот говорить неправду (как сделали они) - это сразу генерировать недоверие и конфликт для дальнейших отношений.

[Максим]

xmoonlight: спс ! в общем я так понял в плане безопасности это нормально ? только что надо отделять php от view ?

[xmoonlight]

. Shadow: да, всё верно и... С Наступающим!

Answer 2

[Twelfth Doctor]

При всём желании никто не сможет увидеть Ваши конструкции на PHP, если нет прямого доступа к файлам на сервере.
PHP - это серверный язык, скрипт выполняется на сервере, а в браузере Вы видите уже результат работы скрипта.
Есть совсем экзотический и нереальный вариант - на сервере по каким-то причинам отключено выполнение PHP скриптов (глобально. или в какой-то папке), тогда Ваш скрипт выведется как есть - со всеми конструкциями и названиями переменных.